ICS – Intelligent Communication Software

Was ist Network Traffic Analysis (NTA)?
Gartner's Definition, Enterprise NTA und Top-Ressourcen

Blog von Chase Snyder

Aktualisiert am 4. März 2019

Was ist eine Netzwerkverkehrsanalyse?

Laut Gartner: Network Traffic Analysis (NTA) ist eine neue Kategorie von Sicherheitsprodukten, die die Netzwerkkommunikation als grundlegende Datenquelle zur Erkennung und Untersuchung von Sicherheitsbedrohungen und anomalen oder bösartigen Verhaltensweisen in diesem Netzwerk nutzt.

Die Praxis, Netzwerkdaten zu sammeln, zu analysieren und Entscheidungen auf Basis der Ergebnisse zu treffen, gibt es seit Jahrzehnten, zumindest seit der Veröffentlichung von tcpdump im Jahr 1988.

Diese neue Produktkategorie wird jedoch gerade erst definiert.

Gartner's erster Market Guide für Network Traffic Analysis (veröffentlicht am 28. Februar 2019), beschreibt die Fähigkeiten, die sie als grundlegend für NTA-Produkte betrachten, sowie eine Liste der repräsentativen Anbieter: Laden Sie jetzt ein kostenloses Exemplar herunter.

Vorteile der Netzverkehrsanalyse nach Merkmalen

Hier sind die wichtigsten Funktionen, die unserer Meinung nach jeder Netzwerk-Traffic-Analysator beinhalten muss und was sie für den Sicherheitsbetrieb mit Schwerpunkt auf Unternehmenssicherheit wichtig macht:

  1. Echtzeit-Netzwerkdatenanalyse
    Um genaue Erkennungs-, Untersuchungs- und Antwortfunktionen innerhalb eines Zeitraums, in dem sie tatsächlich nutzbar sind, bereitzustellen, muss jedes NTA-Produkt Analysen durchführen und Antworten in Echtzeit und in großem Maßstab liefern.
  2. Vollständige Ost-West-Transaktionstransparenz
    Damit ein Netzwerk-Traffic-Analysator einen hochgenauen Einblick in das Bedrohungsverhalten geben kann, muss er in der Lage sein, den tatsächlichen Inhalt der Netzwerkgespräche zu sehen und zu analysieren. Das bedeutet vollständige L2-L7-Sichtbarkeit, Dekodierung des Anwendungsprotokolls und Dekodierung moderner kryptographischer Standards (TLS 1.3). Legacy-Anbieter haben sich auf NetFlow oder NetFlow-ähnliche Metriken konzentriert, die zeigen, welche Geräte kommunizieren und wie viele Gespräche sie führen. Dies sind grobe, Low-Fidelity-Daten, die im Vergleich zu einer vollständigen Transparenz der tatsächlichen Transaktionen nicht viel Aufschluss geben können.
  3. Sichere, kontrollierte Entschlüsselung zur Vermeidung von Dark Space
    Über 70% des Web-Traffics werden heute verschlüsselt, und diese Zahl steigt rasant an. In Unternehmensnetzwerken steigt auch die Menge des zu verschlüsselnden Datenverkehrs rapide in Richtung 100%. Während die Verschlüsselung für den Schutz sensibler Daten unerlässlich ist, schafft sie auch blinde Flecken für die Sicherheitsteams. Einer der Kernziele von NTA-Tools ist die vollständige Transparenz, d.h. die Möglichkeit, den Datenverkehr für die Analyse zu entschlüsseln, ohne die Datensicherheit zu beeinträchtigen, ist ein entscheidendes, grundlegendes Merkmal für jedes NTA-Produkt.
  4. Baselining und Anomalieerkennung
    Jedes NTA-Produkt benötigt die Fähigkeit, das Basisverhalten von Geräte- und Benutzeraktivitäten zu modellieren und neue Beobachtungen mit diesen Basislinien zu vergleichen. Verhaltensanalysen sind der beste Weg, um aus den Netzwerkdaten einen verwertbaren Einblick zu gewinnen, im Gegensatz zu den signaturbasierten Modellen, die in anderen Sicherheitsproduktkategorien hervorgehoben werden.

Bereitstellen eines Produkts zur Analyse des Netzwerkverkehrs

NTA-Produkte analysieren den Netzwerkverkehr und diejenigen, die Paketdaten analysieren, die typischerweise als physische oder virtuelle Appliance bereitgestellt werden und eine Kopie des Netzwerkverkehrs (über einen Port-Spiegel oder Netzwerk-Tap) von einem Core-Switch im Rechenzentrum empfangen, wenn sie in Räumlichkeiten bereitgestellt werden.

Dadurch erhält das Produkt den Ost-West-Verkehr innerhalb des Rechenzentrums - auch laterale Kommunikation genannt. Andere Netzwerkgeräte wie Firewalls und IDS/IPS-Produkte konzentrieren sich auf den Nord-Süd-Verkehr, der die Umgebung in und aus der Umgebung durchquert, aber NTA-Produkte konzentrieren sich auf die "saftige Mitte" im Rechenzentrum, das in der Vergangenheit ein dunkler Raum für Security Operations-Teams war.

In Cloud-Umgebungen ist der Einsatz etwas anders, da Public Cloud-Anbieter bisher keine Traffic-Spiegelungsfunktionalität zur Verfügung gestellt haben.
Um den Datenverkehr zu erhalten, setzen NTA-Produkte Software ein, die rohen oder verarbeiteten Datenverkehr an eine virtuelle Appliance weiterleitet, die in der gleichen Verfügbarkeitszone gehostet wird, um die Datenübertragungskosten zu minimieren. Da die Public Cloud-Infrastruktur und die Verwaltbarkeit ausgereift sind, sollten Sie erwarten, dass Sie ähnliche Spiegelungsfunktionen wie ERSPAN auf Cisco-Switches erhalten.

Ressourcen zur Analyse des Netzwerkverkehrs

Gartner's Market Guide on Network Traffic Analysis ist die derzeit wichtigste Ressource in der NTA-Kategorie.

Gerne stehen wir Ihnen bei weiteren Fragen zur Verfügung.

Ihr ICS Vertriebsteam

Tel: +49 89 74859870

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

Mit Urteil vom 2.10.2019 hat der EuGH ein Grundsatzurteil zur Speicherung von Cookies getroffen. Die Umsetzung des Urteils – technisch wie juristisch – verfolgen wir intensiv, und wir werden technische Anpassungen umgehend umsetzen, sobald diese verfügbar sind. Zurzeit erklären wir, dass auf unseren Seiten keinerlei Tracking-Cookies, personenbezogene Daten oder statistische Informationen erhoben werden. Die für den Betrieb dieser Homepage notwendigen Session-Cookies lassen keinen Rückschluss auf Ihre Person oder Ihr System zu, können aber ebenfalls blockiert werden. Falls Sie auf „Ablehnen“ klicken, nehmen Sie u.U. Einschränkungen beim Besuch unserer Homepage in Kauf.
Ok Ablehnen